Proofpoint ontdekt Microsoft Office 365-functionaliteit die bestanden op SharePoint en OneDrive versleutelt

  1. 20 jun 2022
  2. 0 reacties

proofpoint

Ransomware-aanvallen zijn van oudsher gericht op data op endpoints of netwerkschijven. Tot nu toe dachten IT- en beveiligingsteams dat de cloud beter bestand was tegen ransomware-aanvallen. Immers, de nu bekende "AutoSave"-functie, samen met versiebeheer en de welbekende prullenbak, zouden voldoende moeten zijn geweest als back-ups. Dat is mogelijk echter verleden tijd.
 
Proofpoint heeft een mogelijk gevaarlijk stukje functionaliteit in Office 365 of Microsoft 365 ontdekt. Hiermee kan ransomware bestanden die zijn opgeslagen op SharePoint en OneDrive versleutelen op een manier waardoor ze onherstelbaar zijn zonder speciale back-ups of een decryptiesleutel van de aanvaller.
 
Het onderzoek richtte zich op twee van de populairste cloud-apps voor bedrijven - SharePoint Online en OneDrive binnen de Microsoft 365- en Office 365-suites. Hieruit blijkt dat ransomware-actoren zich nu richten op data van organisaties in de cloud en aanvallen kunnen uitvoeren op cloud-infrastructuur. 
 
Aanvalsketen voor ransomware in de cloud
Het Proofpoint-team heeft de aanvalsketen in kaart gebracht en de onderstaande stappen gedocumenteerd. Eenmaal uitgevoerd, versleutelt de aanval de bestanden in de accounts van de gecompromitteerde gebruikers. Net als bij endpoint ransomware kunnen die bestanden vervolgens alleen worden teruggehaald met decryptiesleutels.
  1. Toegang wordt verkregen tot de SharePoint Online- of OneDrive-accounts van een of meer gebruikers door de identiteit van gebruikers te compromitteren of over te nemen.
  2. De aanvaller heeft nu toegang tot elk bestand van de gecompromitteerde gebruiker of OAuth-applicatie (waaronder ook het OneDrive-account van de gebruiker).
  3. De versielimiet van bestanden wordt verlaagd tot een laag getal zoals 1. Vervolgens wordt het bestand vaker dan de versielimiet versleuteld, in dit geval twee keer. Deze stap is uniek voor cloud ransomware in vergelijking met de aanvalsketen voor endpoint ransomware.
  4. Nu zijn alle originele versies van de bestanden verloren gegaan, waardoor alleen de versleutelde versies van elk bestand in het cloudaccount overblijven. Nu kan de aanvaller losgeld vragen aan de organisatie.
Versiebeheer van documentbibliotheken
Elke documentbibliotheek in SharePoint Online en OneDrive heeft een configureerbare instelling voor het aantal opgeslagen versies, die de eigenaar van de website kan wijzigen, ongeacht zijn of haar andere rollen. Ze hoeven dus geen beheerdersrol of bijbehorende privileges te hebben.
 
Wanneer de versielimiet van de documentbibliotheek wordt verlaagd, zullen verdere wijzigingen aan de bestanden in de documentbibliotheek ertoe leiden dat oudere versies zeer moeilijk te herstellen zijn. Er zijn twee manieren om het versiebeheer te misbruiken voor kwaadwillende doeleinden. Dat kan door te veel versies van een bestand te maken of door de versielimieten van een documentbibliotheek te verlagen, waarbij de laatste methode zowel makkelijker als doeltreffender is.
 
Bescherming van de organisatie en gevoelige data
Gelukkig zijn veel van de best practices die gelden voor endpoint ransomware ook van toepassing als het gaat om het beschermen van cloudomgevingen.
 
Ten eerste dient detectie van riskante wijzigingen in bestandsconfiguratie te worden ingeschakeld voor Office 365-accounts. Hoewel een gebruiker per ongeluk de instelling kan wijzigen, is dit niet gebruikelijk. Als gebruikers dit onbewust hebben gedaan, moeten ze hierop worden gewezen en worden gevraagd de versielimiet te verhogen. Dit verkleint het risico dat een aanvaller gebruikers compromitteert en gebruik maakt van de toch al lage versielimieten.
 
Ten tweede moet de veiligheidshygiëne rond ransomware worden verbeterd, met een focus op:
  • Very Attacked People (VAP's): De gebruikers die het vaakst te maken krijgen met cloud-, e-mail- en webaanvallen moeten in kaart gebracht worden en het moet prioriteit krijgen om hen beter te beschermen. Deze gebruikers zijn niet per definitie de meest senior werknemers, zoals leidinggevenden en gebruikers met veel privileges.
  • Toegangsbeheer: Organisaties moeten zorgen voor een sterk wachtwoordbeleid, het gebruik van multifactor-authenticatie (MFA) en een toegangsbeleid op basis van minimale privileges en principes voor cloud-apps.
  • Herstel en back-up: Het beleid voor disaster recovery en back-up van data moet worden bijgewerkt om de schade door ransomware te beperken.
  • Cloudbeveiliging: Er moeten tools worden geïmplementeerd om misbruik van accounts en applicaties van derden op te sporen en te verhelpen.
  • Data Loss Prevention (DLP): Het downloaden van gevoelige data en grootschalige downloads van data naar onbeheerde apparaten moet worden voorkomen om de kans op dubbele chantagetactieken bij ransomware te verkleinen.
Verantwoorde openbaarmaking en discussie
Voorafgaand aan dit onderzoek heeft Proofpoint het openbaarmakingstraject van Microsoft gevolgd en een aantal reacties ontvangen. Microsoft beweert het volgende:
  • De configuratiefunctionaliteit voor versie-instellingen binnen lijsten werkt zoals bedoeld.
  • Oudere versies van bestanden kunnen mogelijk worden hersteld en teruggezet voor nog eens 14 dagen met de hulp van Microsoft Support.
Proofpoint heeft echter geprobeerd om via dit proces (met Microsoft Support) oude versies te herstellen, maar slaagde daar niet in. Ten tweede, zelfs als de configuratie voor versiebeheer is zoals bedoeld, heeft Proofpoint aangetoond dat deze door aanvallers kan worden misbruikt voor cloud ransomware-aanvallen.
 
Meer informatie over hoe Proofpoint cloudaccounts en dataverlies in de cloud kan beschermen, is te vinden op Proofpoint CASB.
 
Meer over
Lees ook
Cybercriminelen doen zich voor als OpenAI in een grootschalige phishing aanval

Cybercriminelen doen zich voor als OpenAI in een grootschalige phishing aanval

Onderzoekers van Barracuda hebben een grootschalige OpenAI-imitatiecampagne ontdekt, gericht op bedrijven over de hele wereld. Daarbij deden de aanvallers zich voor als OpenAI – het bedrijf achter onder andere ChatGPT – in een urgent e-mailbericht waarin de ontvangers werd gevraagd om betalingsgegevens bij te werken voor een maandelijks abonnement.

WatchGuard: explosieve stijging in evasive malware

WatchGuard: explosieve stijging in evasive malware

Hoewel het totale aantal malware-detecties dit kwartaal met 24% is gedaald, laat het nieuwste Internet Security Report (ISR) van WatchGuard Technologies een stijging van 168% in evasive malware zien. Deze geavanceerde bedreigingen ontwijken traditionele detectiemethoden, waardoor de impact op bedrijven wereldwijd groot is. Dit rapport van het twee1

ESET: GoldenJackal APT-groep gebruikte een aangepaste toolset om air-gapped systemen te targeten

ESET: GoldenJackal APT-groep gebruikte een aangepaste toolset om air-gapped systemen te targeten

ESET wijst de campagne toe aan GoldenJackal, een cyberspionage APT-groep die zich richt op overheids- en diplomatieke entiteiten. Door de toolset van de groep te analyseren, identificeerde ESET een aanval die GoldenJackal eerder uitvoerde, in 2019, tegen een Zuid-Aziatische ambassade in Wit-Rusland die gericht was op de air-gapped systemen van de1